Специалисты Microsoft выявили масштабную кампанию по распространению вредоносной рекламы (малвертайзинг), которая затронула около миллиона устройств под управлением Windows. Злоумышленники использовали сложную многоступенчатую схему для кражи конфиденциальных данных, учетных записей и криптовалютных активов пользователей.
Механизм распространения вредоносной рекламы
Кампания стартовала в декабре 2024 года, когда атакующие начали размещать вредоносную рекламу на пиратских стриминговых платформах, включая movies7[.]net и 0123movie[.]art. Злоумышленники внедряли специальные редиректоры, монетизируя трафик через рекламные сети и платежные системы.
Техническая реализация атаки
Вредоносные iframe-элементы инициировали цепочку перенаправлений через промежуточные ресурсы, включая поддельные сайты технической поддержки. Конечной точкой становились GitHub-репозитории, содержащие различные вредоносные компоненты. Для распространения малвари также использовались платформы Discord и Dropbox.
Многоэтапное развертывание вредоносного ПО
На начальном этапе атаки производился сбор технической информации об устройстве жертвы для оптимизации последующих действий. Далее происходило отключение защитного ПО, установление связи с командными серверами и внедрение вредоноса NetSupport. Особую опасность представляло использование легитимных цифровых подписей — Microsoft выявила и отозвала 12 скомпрометированных сертификатов.
Масштаб и последствия атаки
Кампания носила неизбирательный характер, затрагивая как частных пользователей, так и организации. Основными инструментами похищения данных выступали стилер Lumma и его открытый аналог Doenerium. Вредоносное ПО целенаправленно искало браузерные данные, включая cookies, пароли и историю посещений, а также проверяло наличие криптовалютных кошельков различных типов (Ledger Live, Trezor Suite, KeepKey и других).
Данный инцидент демонстрирует растущую изощренность киберпреступников в использовании легитимных рекламных сетей и платформ для распространения вредоносного ПО. Для защиты рекомендуется избегать посещения сомнительных ресурсов, регулярно обновлять защитное ПО и использовать многофакторную аутентификацию для критически важных сервисов.